Tre giorni. Tanto è bastato ad APT28, il gruppo di cyberspionaggio legato all’intelligence militare russa, per trasformare una patch di Microsoft Office in un’arma. Il 26 gennaio 2026 Microsoft ha rilasciato un aggiornamento fuori ciclo per CVE-2026-21509. Il 29 gennaio i ricercatori di Zscaler ThreatLabz osservavano già lo sfruttamento attivo della falla in una campagna battezzata Operation Neusploit, diretta contro governi e infrastrutture critiche dell’Europa centro-orientale. Per l’Italia, che a febbraio 2026 ospitava i Giochi olimpici invernali di Milano Cortina, il caso non è un fatto lontano: è la conferma che lo stesso attore statale considerato la minaccia numero uno per le Olimpiadi sa muoversi più in fretta dei team di patching.
Questa analisi ricostruisce con dati verificati cosa è successo, come funziona la catena di attacco, perché riguarda da vicino l’Italia e l’Europa, e cosa possono fare aziende e amministrazioni nelle prossime settimane.
Cos’è Operation Neusploit e perché conta
Operation Neusploit è una campagna di cyberspionaggio individuata a gennaio 2026 da Zscaler ThreatLabz e attribuita con alta confidenza ad APT28, gruppo noto anche come Fancy Bear, Sednit, Sofacy, BlueDelta e STRONTIUM. Il nome riassume la logica dell’operazione: sfruttare in modo nuovo un meccanismo di bypass delle protezioni di Office per consegnare backdoor a bersagli selezionati con cura.
La campagna non rientra nella categoria del ransomware opportunistico che colpisce a tappeto. Qui l’obiettivo è il furto silenzioso di credenziali e corrispondenza diplomatica e governativa. La velocità di adozione dello zero-day, appena tre giorni dopo la divulgazione della patch, segnala un livello di maturità operativa che pochi gruppi al mondo possono permettersi. Chi sviluppa un exploit funzionante in 72 ore dispone di risorse di ricerca interne e di una pipeline pronta a passare dalla scoperta all’uso sul campo.
Per il pubblico italiano la rilevanza è doppia. APT28 è lo stesso gruppo che le autorità europee indicano come minaccia ricorrente contro i ministeri e che figura in cima alle valutazioni di rischio per Milano Cortina 2026. Capire come opera Neusploit significa capire la grammatica di una minaccia che l’Italia ha affrontato in casa propria pochi giorni dopo la scoperta della campagna.
La vulnerabilità CVE-2026-21509 spiegata
CVE-2026-21509 è classificata da Microsoft come Security Feature Bypass di Microsoft Office. Il punteggio CVSS v3.1 è 7.8 su 10, con score temporale 7.2, una severità alta. La radice del problema è che Office si affida a input non attendibili durante decisioni critiche per la sicurezza, e questo consente a un attaccante di aggirare localmente le mitigazioni OLE (Object Linking and Embedding), la tecnologia che incorpora oggetti esterni nei documenti.
Quali versioni di Office sono colpite
La falla riguarda l’intera linea desktop ancora supportata. Chi usa una di queste versioni senza l’aggiornamento del 26 gennaio 2026 resta esposto.
| Prodotto | Stato | Note |
|---|---|---|
| Microsoft Office 2016 | Vulnerabile | Patch disponibile dal 26/01/2026 |
| Microsoft Office 2019 | Vulnerabile | Patch disponibile dal 26/01/2026 |
| Microsoft Office LTSC 2021 | Vulnerabile | Aggiornamento fuori ciclo |
| Microsoft Office LTSC 2024 | Vulnerabile | Aggiornamento fuori ciclo |
| Microsoft 365 Apps for Enterprise | Vulnerabile | Aggiornamento via canale gestito |
Perché il bypass OLE è pericoloso
Le mitigazioni OLE nascono proprio per impedire che un documento apparentemente innocuo esegua codice esterno. Aggirarle vuol dire riportare Office a un comportamento che gli sviluppatori avevano deliberatamente bloccato. La condizione necessaria resta l’interazione umana: l’attaccante deve convincere la vittima ad aprire un file Office malevolo. È un dettaglio che sposta la difesa dal solo patching alla consapevolezza degli utenti, perché un singolo allegato aperto basta ad avviare l’intera catena. Per chi vuole approfondire il funzionamento delle esche via posta, resta utile la nostra guida su come riconoscere il phishing e l’ingegneria sociale.
Cronologia: dalla patch all’exploit in tre giorni
La sequenza temporale è il dato più allarmante dell’intera vicenda. Mostra una finestra di esposizione minima tra la pubblicazione del fix e il suo sfruttamento operativo.
| Data | Evento |
|---|---|
| 26 gennaio 2026 | Microsoft rilascia la patch fuori ciclo per CVE-2026-21509 |
| 29 gennaio 2026 | Zscaler ThreatLabz osserva lo sfruttamento attivo in Operation Neusploit |
| Fine gennaio 2026 | Esche RTF distribuite in Ucraina, Slovacchia e Romania |
| 3 febbraio 2026 | Pubblicazione delle prime analisi tecniche dettagliate della campagna |
| 6-22 febbraio 2026 | Giochi olimpici invernali di Milano Cortina, con l’Italia che respinge attacchi di origine russa |
Tre giorni di scarto tra patch ed exploit collocano Neusploit tra le campagne a reazione più rapida osservate in Europa nel 2026. Per confronto, molti attacchi sfruttano vulnerabilità note da settimane o mesi, contando sul ritardo di aggiornamento delle vittime. Qui APT28 ha fatto l’opposto: ha colpito mentre la maggior parte delle organizzazioni non aveva ancora distribuito il fix.
Chi è APT28 (Fancy Bear): il profilo del gruppo GRU
APT28 opera, secondo le attribuzioni occidentali raccolte nel database MITRE ATT&CK, dall’unità 26165 del GRU, l’intelligence militare russa, all’interno dell’85° Centro Speciale del Servizio Principale. Il gruppo è attivo almeno dal 2007 e colleziona una lunga lista di alias: Fancy Bear, Sednit, Sofacy, Pawn Storm, BlueDelta, STRONTIUM e, nelle classificazioni ucraine, UAC-0001.
Il curriculum operativo include alcuni degli attacchi più noti dell’ultimo decennio: la violazione dell’Agenzia mondiale antidoping (WADA) nel 2016 e le interferenze legate ai grandi eventi sportivi internazionali. Questa continuità non è un dettaglio storico. Spiega perché, quando si parla di Olimpiadi e di ministeri europei, gli analisti citano APT28 come prima ipotesi. Neusploit è l’ennesimo capitolo di una strategia coerente: spionaggio mirato, esche credibili, malware modulare.
La sofisticazione tecnica del gruppo si misura anche dalla disciplina operativa. Neusploit usa evasione lato server: il file DLL malevolo veniva consegnato solo a vittime situate nelle regioni bersaglio e con l’intestazione User-Agent corretta. Chi analizzava la catena da una rete non prevista riceveva contenuti innocui, una tecnica pensata per ostacolare ricercatori e sistemi di analisi automatica.
La catena di infezione: RTF, MiniDoor e Covenant Grunt
L’attacco parte da file RTF di Microsoft Office costruiti ad arte, con esche di ingegneria sociale localizzate in inglese, rumeno, slovacco e ucraino. L’apertura del documento innesca lo sfruttamento di CVE-2026-21509 e avvia una catena multi-stadio che termina con l’installazione di impianti di comando e controllo. Zscaler ThreatLabz ha mappato un arsenale di almeno quattro componenti distinti.
| Componente | Tipo | Funzione |
|---|---|---|
| MiniDoor | Stealer | Progetto VBA di Outlook che sottrae le email della vittima |
| PixyNetLoader | Dropper multi-stadio | Persistenza tramite COM hijacking e attività pianificate |
| Covenant Grunt | Impianto C2 | Implant .NET che usa l’API di Filen come canale di comando |
| EhStoreShell.dll | Loader shellcode | Carica codice nascosto con steganografia in immagini PNG |
La scelta di abusare di Filen, un servizio cloud cifrato legittimo, come ponte per il comando e controllo merita attenzione. Nascondere il traffico C2 dentro un servizio noto rende l’individuazione più difficile, perché le connessioni verso un cloud popolare non destano sospetti immediati nei sistemi di rete. È la stessa logica della steganografia PNG impiegata da EhStoreShell.dll: mimetizzare il codice malevolo dentro formati ordinari. Per capire perché la cifratura ben implementata sia un’arma a doppio taglio, può essere utile rivedere i fondamentali di HTTPS e TLS.
Come Zscaler ThreatLabz ha attribuito la campagna
L’attribuzione ad APT28 non poggia su un solo indizio. Secondo l’analisi dei ricercatori Sudeep Singh e Roy Tay di Zscaler ThreatLabz, la valutazione ad alta confidenza nasce dall’incrocio di tre elementi: la sovrapposizione di strumenti con il malware NotDoor già collegato al gruppo, i modelli di vittimologia coerenti con gli interessi strategici russi, e l’abuso dell’API di Filen con modalità identiche a quelle viste in Operation Phantom Net Voxel del settembre 2025.
Questo metodo, che combina indicatori tecnici e contesto geopolitico, è lo standard del settore. Una sola somiglianza di codice può essere casuale o frutto di un riutilizzo pubblico. La convergenza di strumenti, bersagli e infrastruttura riduce drasticamente le alternative plausibili. Le analisi indipendenti di Picus Security e Security Affairs hanno confermato la ricostruzione tecnica della catena di attacco e il legame con il gruppo russo, dando alla valutazione la solidità di più fonti convergenti.
Il fronte italiano: Milano Cortina 2026 nel mirino
Mentre Neusploit colpiva Ucraina, Slovacchia e Romania, l’Italia affrontava la sua versione del problema. Pochi giorni prima dell’apertura dei Giochi invernali di Milano Cortina 2026, il governo italiano ha respinto una serie di attacchi informatici di origine russa diretti contro infrastrutture governative e olimpiche. Secondo la ricostruzione di Recorded Future, gli attacchi hanno toccato circa 120 bersagli.
I target andavano ben oltre i confini nazionali: uffici e consolati del ministero degli Esteri a Washington, Sydney, Toronto e Parigi, oltre a strutture connesse ai Giochi, inclusi gli hotel della località alpina di Cortina d’Ampezzo che ospitavano gli atleti. Il ministro degli Esteri Antonio Tajani ha pubblicamente collegato gli attacchi a una matrice russa. Il gruppo hacktivista filorusso NoName057(16) ha rivendicato una campagna di attacchi DDoS, presentandoli come ritorsione per il sostegno italiano all’Ucraina.
Le valutazioni di rischio per i Giochi, riprese anche dal World Economic Forum, indicavano tre attori statali come le minacce più capaci: la russa APT28, la cinese Mustang Panda e la nordcoreana Kimsuky. La presenza di APT28 in cima a entrambe le liste, quella di Neusploit e quella olimpica, non è una coincidenza. È la prova che lo stesso avversario opera su più fronti europei contemporaneamente.
ACN e la risposta italiana alla minaccia
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha allestito un centro di comando dedicato per individuare e rispondere alle minacce associate ai Giochi di Milano Cortina. La struttura aveva il compito di monitorare e analizzare le minacce, scambiare informazioni critiche e supportare la gestione delle crisi in tempo reale durante l’evento.
Il modello adottato dall’Italia riflette una lezione ormai consolidata: per un grande evento, la difesa non può essere reattiva. Serve un presidio centralizzato che correli i segnali provenienti da reti diverse e attivi le contromisure prima che l’attacco produca danni. Il fatto che gli attacchi siano stati respinti suggerisce che il presidio abbia funzionato, ma la rapidità di APT28 con Neusploit ricorda che il margine resta sottile. Il quadro nazionale degli incidenti, con i suoi numeri in crescita, è descritto nel nostro approfondimento sul ransomware in Italia secondo il rapporto Clusit 2026, mentre gli obblighi normativi che ne derivano sono al centro della direttiva NIS2 in Italia.
Impatto sul mercato e sulle aziende europee
L’effetto immediato di Neusploit si misura sul lavoro dei team di sicurezza. Una vulnerabilità Office sfruttata tre giorni dopo la patch costringe a comprimere i tempi di distribuzione degli aggiornamenti, che in molte organizzazioni seguono cicli di test di settimane. Per le aziende europee con flotte di centinaia o migliaia di postazioni, accelerare il patching su Microsoft Office significa rivedere le procedure interne e accettare un rischio operativo maggiore pur di chiudere la finestra di esposizione.
C’è poi un effetto reputazionale e normativo. Le amministrazioni colpite o anche solo sfiorate da una campagna di questo tipo ricadono sotto gli obblighi di notifica degli incidenti previsti dalla direttiva NIS2, ormai pienamente operativa in Italia e nell’Unione. Un attacco riuscito può tradursi in segnalazioni obbligatorie, audit e, nei casi gravi, sanzioni. La pressione economica indiretta, fatta di ore di lavoro straordinario, consulenze forensi e revisione delle difese, supera spesso il danno diretto del furto dei dati.
Sul fronte degli strumenti, Neusploit rafforza una tendenza già visibile nel mercato della sicurezza: la domanda di soluzioni che riducano la dipendenza dall’interazione umana, dall’isolamento dei documenti non attendibili al rilevamento comportamentale degli impianti C2. Le mitigazioni statiche, da sole, non reggono il passo di un avversario che adotta uno zero-day in 72 ore.
Contesto storico: APT28 dalle Olimpiadi 2016 a oggi
Per inquadrare Neusploit serve memoria storica. La violazione della WADA nel 2016, attribuita a Fancy Bear, divulgò dati medici di atleti olimpici in un’operazione che mescolava spionaggio e guerra dell’informazione. Negli anni successivi, gruppi russi sono stati collegati a interferenze contro l’organizzazione di grandi eventi sportivi. Il filo conduttore è costante: gli eventi internazionali ad alta visibilità sono bersagli ideali perché uniscono valore politico, attenzione mediatica e una superficie d’attacco enorme fatta di sponsor, hotel, federazioni e organi di governo.
Neusploit aggiorna questa tradizione con strumenti del 2026: uno zero-day Office adottato in tempi record, malware modulare e abuso di servizi cloud cifrati per il comando e controllo. Cambia la tecnologia, non la strategia. Il salto di qualità è la velocità. Dove un tempo passavano mesi tra la disponibilità di un exploit e il suo impiego mirato, oggi ne bastano tre giorni.
Confronto con altri zero-day e attacchi del 2026
Neusploit non è un caso isolato. Il 2026 ha già visto diverse falle critiche sfruttate contro l’Europa. Il confronto aiuta a collocarne la gravità relativa.
| Caso | Vulnerabilità | Software | Attore | Caratteristica chiave |
|---|---|---|---|---|
| Operation Neusploit | CVE-2026-21509 (CVSS 7.8) | Microsoft Office | APT28 (Russia) | Exploit a tre giorni dalla patch |
| Attacco Ivanti EPMM | CVE-2026-1281 e CVE-2026-1340 | Ivanti Endpoint Manager Mobile | Sfruttamento in the wild | RCE pre-autenticazione |
| DDoS olimpici | Saturazione di rete | Servizi web | NoName057(16) | Ritorsione politica, circa 120 bersagli |
Il confronto evidenzia due profili distinti di rischio. Da un lato gli attacchi opportunistici e rumorosi come i DDoS rivendicati da NoName057(16), pensati per fare clamore. Dall’altro lo spionaggio silenzioso di Neusploit, dove il successo si misura nell’assenza di rumore e nella permanenza nascosta dentro le reti bersaglio. Le falle Ivanti, con punteggi di gravità ancora più alti, ricordano che la superficie d’attacco non si limita a Office. Abbiamo analizzato quel filone nel pezzo sull’attacco Ivanti del 2026.
Cosa dicono gli analisti
La lettura prevalente tra i ricercatori è che la velocità di adozione dello zero-day sia il segnale più importante. Sudeep Singh e Roy Tay di Zscaler ThreatLabz, che hanno individuato la campagna, sottolineano come la combinazione di evasione lato server, malware modulare e abuso di servizi cloud legittimi indichi un attore con risorse e disciplina operativa di livello statale.
Microsoft, attraverso il proprio Security Response Center, classifica CVE-2026-21509 come bypass delle funzioni di sicurezza e ribadisce che lo sfruttamento richiede l’interazione della vittima, un punto che riporta la difesa sul terreno della formazione degli utenti oltre che del patching. Gli analisti di Picus Security, nel descrivere lo sfruttamento attivo, mettono in guardia sul fatto che esistono già proof of concept pubblici della falla, un fattore che storicamente accelera l’adozione da parte di attori meno sofisticati nelle settimane successive.
Sul versante italiano, le autorità hanno scelto la via dell’attribuzione pubblica. Collegare gli attacchi olimpici a una matrice russa, come ha fatto il ministro Tajani, risponde a una logica di deterrenza: rendere esplicito il costo politico delle operazioni informatiche, anche quando non porta a conseguenze legali immediate.
Cinque previsioni per il resto del 2026
- Adozione sempre più rapida degli zero-day. La finestra di tre giorni vista con Neusploit diventerà la norma per gli attori statali, riducendo a poche ore il vantaggio dei difensori dopo ogni patch.
- Abuso crescente di servizi cloud legittimi per il C2. L’uso dell’API di Filen anticipa una tendenza: nascondere il comando e controllo dentro servizi popolari per sfuggire ai controlli di rete.
- Pressione normativa via NIS2. Le notifiche obbligatorie aumenteranno la visibilità degli incidenti, ma anche il carico amministrativo per le organizzazioni europee colpite.
- Convergenza tra spionaggio e hacktivismo. Operazioni silenziose come Neusploit e campagne rumorose come i DDoS di NoName057(16) continueranno a colpire gli stessi bersagli con obiettivi diversi.
- Investimenti nell’isolamento dei documenti. Le aziende sposteranno risorse verso tecnologie che neutralizzano i file non attendibili prima dell’apertura, riducendo il peso dell’errore umano.
Come proteggersi: patch e mitigazioni
La prima difesa è ovvia ma decisiva: applicare l’aggiornamento Microsoft del 26 gennaio 2026 su tutte le installazioni di Office. Su flotte estese, conviene verificare via script lo stato della patch prima di considerare chiuso il rischio. Su Windows è possibile elencare gli aggiornamenti installati per individuare le postazioni ancora scoperte.
# PowerShell: elenca gli aggiornamenti recenti installati
Get-HotFix | Sort-Object -Property InstalledOn -Descending | Select-Object -First 15
# Verifica la versione di Office (canale Click-to-Run)
$reg = "HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration"
Get-ItemProperty -Path $reg | Select-Object VersionToReportOltre al patching, valgono alcune misure complementari. Disattivare l’esecuzione automatica delle macro e bloccare i contenuti attivi nei documenti provenienti da Internet riduce la superficie d’attacco delle esche RTF. Filtrare gli allegati in ingresso e isolare l’apertura dei file non attendibili in ambienti protetti limita il danno di un eventuale clic. Sul piano del rilevamento, monitorare connessioni anomale verso servizi cloud poco usati in azienda può smascherare un impianto C2 che abusa di API legittime. Infine, la formazione resta centrale: poiché CVE-2026-21509 richiede l’apertura di un file, un utente preparato a diffidare degli allegati inattesi è l’ultima e spesso decisiva linea di difesa.
Per le organizzazioni soggette agli obblighi europei, è il momento di rivedere anche i piani di risposta agli incidenti e le procedure di notifica, così da reagire entro i tempi previsti dalla normativa in caso di compromissione.
Domande frequenti su Operation Neusploit
Che cos’è Operation Neusploit?
È una campagna di cyberspionaggio individuata a gennaio 2026 da Zscaler ThreatLabz e attribuita ad APT28, gruppo legato all’intelligence militare russa. Sfrutta la vulnerabilità CVE-2026-21509 di Microsoft Office per consegnare malware a governi e infrastrutture critiche dell’Europa centro-orientale.
Quanto è grave CVE-2026-21509?
Microsoft le assegna un punteggio CVSS v3.1 di 7.8 su 10, severità alta. Permette di aggirare le mitigazioni OLE di Office, ma richiede che la vittima apra un file malevolo. La patch è disponibile dal 26 gennaio 2026.
L’Italia è stata colpita da Neusploit?
I bersagli diretti documentati di Neusploit erano in Ucraina, Slovacchia e Romania. L’Italia ha però affrontato attacchi di origine russa attribuiti allo stesso ecosistema di minacce in occasione dei Giochi di Milano Cortina 2026, con circa 120 bersagli respinti dal governo.
Come avviene l’infezione?
La vittima riceve un file RTF di Office con un’esca di ingegneria sociale localizzata. Aprendolo, si innesca lo sfruttamento di CVE-2026-21509 e una catena multi-stadio che installa malware come MiniDoor, PixyNetLoader e Covenant Grunt per il furto di dati e il comando e controllo.
Chi è APT28?
APT28, noto anche come Fancy Bear, è un gruppo di cyberspionaggio collegato all’unità 26165 del GRU russo, attivo almeno dal 2007. È associato a operazioni come la violazione della WADA nel 2016 ed è considerato una minaccia ricorrente per governi ed eventi internazionali in Europa.
Come posso proteggermi?
Applica la patch Microsoft del 26 gennaio 2026 a tutte le versioni di Office, disattiva le macro automatiche, blocca i contenuti attivi nei documenti scaricati da Internet, filtra gli allegati e forma gli utenti a diffidare dei file inattesi. Monitora inoltre le connessioni anomale verso servizi cloud poco usati.
Approfondimenti correlati
- Attacco Ivanti 2026: 600 IP, CVSS 9.8 e l’UE colpita
- Patch Tuesday giugno 2026: 208 CVE e 3 zero-day
- ENISA 2025: 4.900 incidenti cyber e l’ascesa dell’hacktivismo
- Ransomware sugli aeroporti UE: 217 voli e 1,5 milioni di dati
- NIS2 in Italia: multe da 10 milioni e solo il 3,9% pronto
- Sicurezza online: la guida completa di shattered.io
Fonti e riferimenti
- Microsoft Security Response Center, scheda CVE-2026-21509
- Zscaler ThreatLabz, analisi di Operation Neusploit
- Security Affairs, APT28 sfrutta la falla di Office
- Picus Security, CVE-2026-21509 sotto sfruttamento attivo
- Recorded Future News, l’Italia accusa hacker russi per i Giochi
- MITRE ATT&CK, profilo del gruppo APT28 (G0007)
